Aquatic Panda, een Chinees hackcollectief, heeft de Log4j-kwetsbaarheid rechtstreeks gebruikt om een niet nader genoemde academische instelling aan te vallen. De aanval werd ontdekt en bestreden door CrowdStrike's Overwatch threathunting-specialisten.
Volgens CrowdStrike hebben de Chinese (staats)hackers een aanval gelanceerd op een niet nader genoemde academische instelling met behulp van een ontdekte Log4j-kwetsbaarheid. Dit beveiligingslek is gevonden in een kwetsbare VMware Horizon-instantie van de getroffen instelling.
VMware Horizon-instantie
De bedreigingsjagers van CrowdStrike ontdekten de aanval nadat ze verdacht verkeer hadden opgemerkt van een Tomcat-proces dat onder de getroffen instantie draaide. Ze hielden dit verkeer in de gaten en bepaalden aan de hand van de telemetrie dat een aangepaste versie van Log4j werd gebruikt om de server binnen te dringen. De Chinese hackers voerden de aanval uit met behulp van een openbaar GitHub-project dat op 13 december werd gepubliceerd.
Verdere monitoring van de hackactiviteit onthulde dat de Aquatic Panda-hackers native OS-binaries gebruikten om de privilegeniveaus en andere details van de systemen en domeinomgeving te begrijpen. De specialisten van CrowdStrike ontdekten ook dat de hackers probeerden de activiteiten van een actieve endpointdetectie- en responsoplossing (EDR) van derden te blokkeren.
De specialisten van OverWatch bleven vervolgens de activiteiten van de hackers volgen en konden de betreffende instelling op de hoogte houden van het verloop van de hack. De academische instelling zou hier zelf op kunnen inspelen en de nodige beheersmaatregelen nemen en de kwetsbare applicatie patchen.
Aquatische Panda-hackers
De Chinese hackgroep Aquatic Panda is sinds mei 2020 actief. De hackers richten zich uitsluitend op het verzamelen van inlichtingen en industriële spionage. Aanvankelijk richtte de groep zich vooral op bedrijven in de telecomsector, de technologiesector en overheden.
De hackers gebruiken vooral de zogenaamde Cobalt Strike toolsets, waaronder de unieke Cobalt Strike downloader Fishmaster. De Chinese hackers gebruiken ook technieken zoals njRAt-payloads om doelen te raken.
Monitoring Log4j belangrijk
In reactie op dit incident verklaarde CrowdStrike dat de Log4j-kwetsbaarheid een zeer gevaarlijke exploit is en dat bedrijven en instellingen er goed aan zouden doen om hun systemen door te lichten en ook te patchen voor deze kwetsbaarheid.